Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Аудит информационной системы: рекомендации COBIT 3rd Edition

Справочные и методические материалы | RA Software Tool | Средства полного анализа рисков | Метод CRAMM | Пример использования метода CRAMM | Средства компании MethodWare | RiskWatch | Актуальность аудита безопасности | Сертификация и аудит: организационные аспекты | Методика проведения аудита |


Читайте также:
  1. I часть. Лабораторные занятия по темам 1,3,4,5,6,7 (в аудитории).
  2. III. Методические рекомендации по выполнению теоретической части контрольной работы
  3. VII. Перечень тем индивидуальных тем индивидуальных заданий и методические рекомендации по их выполнению (для студентов, занимающихся научной работой)
  4. А-аудиторна робота
  5. Автоматизация информационной системы управления
  6. Актуальность аудита безопасности
  7. Алгоритм описания информационной системы

К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых и тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (табл. 5.1).

Таблица 5.1. Сравнение некоторых стандартов и концепций аудита информационных технологий

  COBIT SAC COSO SAS 55/78
Целевая аудитория ТОР-менеджеры, пользователи, аудиторы информационных систем Внутренние аудиторы компании ТОР-менеджеры Внешние аудиторы
Понятие аудита Системный процесс проверки на соответствие декларируемым целям политики безопасности, организации обработки данных, норм эксплуатации Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, политики безопасности и кадровой политики Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, а также политики безопасности компании Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, а также политики безопасности компании
Цели аудита Развитие бизнеса, повышение его эффективности и рентабельности, следование нормативно-правовой базе Развитие бизнеса, финансовый контроль, следование нормативно-правовой базе Развитие бизнеса, финансовый контроль, следование нормативно-правовой базе Развитие бизнеса, финансовый контроль, следование нормативно-правовой базе
Область применения Планирование и организация, постановка задач и выполнение, эксплуатация и сопровождение, мониторинг Управление производством, эксплуатация автоматизированных и автоматических систем управления Управление производством, риск-менеджмент, управление информационными системами, мониторинг корпоративных информационных систем Управление производством, управление рисками, мониторинг и управление корпоративными информационными системами
Акцент Менеджмент информационных технологий Менеджмент информационных технологий Менеджмент Финансовый менеджмент
Срок действия сертификата аудита Интервал времени Время проверки Интервал времени Интервал времени
Заинтересован-ные лица ТОР-менеджеры компании ТОР-менеджеры компании ТОР-менеджеры компании ТОР-менеджеры компании
Объем документов, регламентирую-щих проведение аудита 4 документа общим объемом 187 страниц 12 частей общим объемом 1193 страницы 4 тома общим объемом 353 страницы 2 документа общим объемом 63 страницы

Ассоциация аудиторов (Information Systems Audit and Control Association - ISACA), в отличие от других организаций, занимается открытым аудитом информационных систем. Она основана в 1969 г. и в настоящее время объединяет свыше 23 000 членов из более 100 стран, в том числе из России. Ассоциация ISACA координирует деятельность более чем 26 000 аудиторов информационных систем (CICA - Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, готовит кадры, проводит конференции.

Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.

По заявлениям руководящих органов ISACA основная цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по системе управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition - Control Objectives for Information and related Technology (контрольные объекты информационной технологии), который состоит из четырех частей.

Часть 1: Краткое описание концепции (Executive Summary).

Часть 2: Определения и основные понятия (Framework). Помимо требований и основных понятий в этой части сформулированы требования к ним.

Часть 3: Спецификации управляющих процессов и возможный инструментарий (Control Objectives).

Часть 4: Рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

Третья часть этого документа в некотором смысле аналогична международному стандарту BS ISO/IEC 7799 (BS 7799). Примерно так же подробно изложены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT - пакет открытых документов, первое издание которого было опубликовано в 1996 г. Он описывает универсальную модель управления информационной технологией, представленную на рис. 5.1 [351].

Основная идея данного стандарта выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологий,

Рис. 5.1. Модель управления информационной технологией

являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом.

Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например стиль и удобство интерфейсов. Характеристики доставки информации получателю - это показатели, в обобщенном виде входящие в показатели доступности и частично в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.

Во-вторых, доверие к технологии - группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность.

В-третьих, показатели информационной безопасности - конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Дата добавления: 2015-09-02; просмотров: 175 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
Организация проведения аудита| Этапы проведения аудита
mybiblioteka.su - 2015-2024 год. (0.007 сек.)